ホーム > 情報セキュリティ > 米国・韓国へのDDoS攻撃と北朝鮮

米国・韓国へのDDoS攻撃と北朝鮮


NHKのラジオで話した内容+αをせっかくなので関連資料とともに簡単にまとめておく。

【状況】
米国独立記念日の7/4頃より米国および韓国の政府機関、銀行、著名サイト等に対して大量の通信による分散型サービス妨害攻撃(DDoS攻撃)が発生、現在にいたるまで断続的に攻撃の通信が発生しているが特に7/7から9にかけて多くのサイトが過負荷によりサービス不能の状態に陥った模様

【参考】

■米韓の政府系サイトなどにDDoS攻撃が発生(ITmedia, 2009/07/09)
http://www.itmedia.co.jp/enterprise/articles/0907/09/news014.html

■米韓へのサイバー攻撃やまず 韓国で3回目の攻撃(NIKKEI NET, 2009/07/09)
http://www.nikkei.co.jp/news/main/im20090709IMC79001_09072009.html

↑この記事の写真はHDDを見せているのだろうか?見せたところで何がわかるわけでもないだろうが・・・。

■米韓狙ったハッカー、発信源は北朝鮮か(毎日放送, 7/9)
http://www.mbs.jp/news/jnn_4179675_zen.shtml

■米主要機関にハッカー攻撃、発信源は北朝鮮(読売新聞, 7/9)
http://www.yomiuri.co.jp/world/news/20090709-OYT1T00864.htm?from=main2

↑この見出しは誤解を招きかねない。当初攻撃自体のトラフィックは韓国のIPアドレスから多く来ているという話だった。たまたま北朝鮮のコンピュータがウイルスに感染した可能性もある。

【攻撃手法】
これらの攻撃に使用されたとみられる不正プログラムはすでにウイルス対策ソフトベンダーなどによって確認されているが、5年前に流行したMydoomというマルウェアの亜種であり最近のマルウェアに見られるような難読処理や潜伏機能の実装などは行われれおらず、比較的技術力の低い開発者が単純に改変したものとみられている。使用されている攻撃手法は数年前のオーソドックスなものであり、むしろこの程度の古典的な攻撃によって実際に政府機関等のサーバがサービス不能に陥ってしまっていることの方が意外だ。

■WORM_MYDOOM.EA(TREND MICRO, 7/7)
http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MYDOOM.EA&VSect=T

■W32.Dozer(Symantec, 7/8)
http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-070816-5318-99

【北朝鮮の国家としての関与の可能性について】
韓国および米国の政府関係者の談話として北朝鮮の関与の可能性が各種報道により取り上げられているが、根拠は明確ではなく現時点においてその信憑性は薄い。特定の国家が関与している可能性がないわけではないが、技術的な観点からは国家が関与する必要は全くない。賢明な国家であれば学生でもできるような攻撃のためにわざわざ余計なリスクを負わないだろう。ただし、賢明ではない国家がある種のプロパガンダ的な目的のためにわざと関与して攻撃をしかけてみるということはあり得るのかもしれない。
これまでも多くの国の機関が同様のDDoS攻撃を受け、背景に他国の関与を疑うような声明を発してきたが、後で蓋を開けてみると愛国心に燃えた他国の活動家や、体制に不満を持つ自国の若者による犯行であったことが判明するようなことが多い。もちろん彼らの背後に国家が関与しているということもできるが、技術的な視点ではどちらであっても大差はない。

■昨年4月のエストニアへのサイバー攻撃、エストニアの大学生が逮捕(Technobahn 2008/1/25)
http://www.technobahn.com/cgi-bin/news/read2?f=200801252223

↑過去にロシア政府の関与がとりだたされたエストニアへのサイバー攻撃が学生によって行われていた事例

■Georgia President’s web site under DDoS attack from Russian hackers, Dancho Danchev, ZD Net, 2008/7/22)
http://blogs.zdnet.com/security/?p=1533

↑同様にロシア政府が関与していると言われたグルジアへのサイバー攻撃もロシアの民間のネットマフィアによるものとする分析

【国家に対するサイバー攻撃の脅威のとらえ方】
今回のようなサービス攻撃は非常にわかりやすい嫌がらせに過ぎず、国家への脅威としては非常にレベルの低いものである。これらの国々の体制に反感を持つ個人または少人数のグループか、あるいはこういった攻撃手法を勉強して身に付けたばかりの若者が腕試しに国家を相手に喧嘩をしかけてみたといったところだろう。
サイバー攻撃の特徴は関与する主体の非対称性にあり、国家の敵が国家である必要は全くなく、愛国心に燃える他国の個人の活動家だったり自国の不満を持った学生だったりすることが多い。
本当に警戒すべきは水面下で秘密裏に進行する攻撃である。ここ数年、日本や米国その他の国々において、政府機関や軍事組織、それらに関係の深い企業等に対して様々な攻撃が継続して行われていることが報告されている。情報を盗み出すキーロガーやコンピュータに遠隔から勝手に操作することを可能とする不正なRAT(Remote Access Tool)などのプログラムの存在が確認されている。今のところ目立った攻撃に使用されることはないが、誰がどのような目的でこのような攻撃プラットフォームを展開しているかは明らかにはなっておらず不気味な状況が続いている。警戒すべきはこのようにいつの間にか重要な組織の中枢に不正なプログラムが潜入していたり国内に広く蔓延しているが気付かれていないという状況だろう。

■The snooping dragon:social-malware surveillance of the Tibetan movement
http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-746.html
http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-746.pdf

■Tracking GhostNet: Investigating a Cyber Espionage Network
http://www.scribd.com/doc/13731776/Tracking-GhostNet-Investigating-a-Cyber-Espionage-Network
http://www.f-secure.com/weblog/archives/ghostnet.pdf

■Gh0st RAT 3.6 source code
http://www.opensc.ws/c-c/3462-gh0st-trojan-3-6-source-code.html

■103カ国の国際機関を標的にしたサイバー・スパイ・ネットワーク「GhostNet」(Computerworld, 3/31)
http://www.computerworld.jp/topics/vs/139989.html

■世界規模のスパイ・ネットワーク「GhostNet」,トロント大学らが報告(IT Pro, 3/30)
http://itpro.nikkeibp.co.jp/article/NEWS/20090330/327420/

【まとめ】
これまでに多くの国がサイバー攻撃を受けた際に、他の国の政府の関与を疑うということが何度となく繰り返されてきた。国の機関はそれなりのセキュリティに関する予算を使って対策を行ってきており、攻撃を仕掛けているのが個人というよりは、政府の関与をほのめかした方が理解を得やすいのだろう。また、それらに対抗する手段のための新たな予算を獲得しやすくなるなどの事情もあるのだろう。
実際のところは相手が国家であれ個人であれ守る側の対策には大きな違いはない。攻撃者の視点からいっても、国家が直接的に関与することにあまりメリットはないだろう。そういったスキルを持つものは民間のマーケットでも、闇のマーケットでもしのぎを削りつつ十分な利益を得ることができるわけであり、国家としてサイバー戦の能力を誇示したいということ以外においては国家が前面に出るよりはこういった民間の基盤を活用することが合理的な戦略といえるだろう。
結論として実際これらの国のいくつかのサイトが停止したところで市民の日常生活にはそれほど大きな影響はないだろう。粛々と状況を分析し、しかるべきセキュリティ対策を講じ、水面下でもっと重要な別の攻撃が進行していないかを確認すればあとは何事もなかったようにふるまうのがよい。攻撃者が誰であれ、いちいちこの程度のことで国の関与がどうのと大騒ぎすることは攻撃者の思うつぼと言えるだろう。

米韓の政府系サイトなどにDDoS攻撃が発生

カテゴリー: 情報セキュリティ タグ:
  1. コメントはまだありません。
  1. トラックバックはまだありません。

CAPTCHA